Shrnutí na Správa síťových přepínačů a protokoly

## Úvod Switche a VLAN jsou základní stavební kameny lokálních sítí. Tento materiál vysvětlí, jak switche fungují, proč se používají VLAN, jak se přenáší více VLAN přes trunk, jak STP brání smyčkám, k čemu slouží LAG a co umí L3 switch. Materiál je zaměřený na pochopení principů, příklady ze sítě a typické chyby, které se často objevují při konfiguraci. ### Co budeme probírat 1. Jak se switch učí MAC adresy 2. VLAN: definice a typy portů (access vs trunk vs hybrid) 3. Native VLAN a tagged/untagged provoz 4. STP a RSTP – prevence smyček 5. LAG a LACP 6. L3 switch a inter-VLAN routing 7. Zabezpečení a typické chyby > Definice: Switch je zařízení pracující převážně na vrstvě 2 (linkové), které přeposílá ethernetové rámce podle MAC adres. ## 1. Jak se switch učí MAC adresy - Switch udržuje FDB (forwarding database) tabulku: mapuje MAC adresy na fyzické porty. - Když přijde rámec na port, switch si uloží zdrojovou MAC adresu spolu s portem do FDB. - Cílovou MAC adresu používá pro rozhodnutí, na který port rámec poslat; pokud ji nezná, vysílá frame do všech portů v dané VLAN (flood). Praktický příklad: klient se připojí do portu 3 a pošle ARP požadavek. Switch zaznamená MAC klienta na portu 3. Když přijde odpověď ze serveru, switch ji podle cílové MAC pošle pouze na port 3. > Definice: FDB tabulka mapuje MAC adresy na porty switche. ## 2. VLAN – rozdělení sítě na logické části - VLAN (Virtual LAN) odděluje provoz na linkové úrovni, i když zařízení sdílí fyzickou infrastrukturu. - Každá VLAN má vlastní broadcast doménu a obvykle vlastní síť (subnet). Typy portů: | Typ portu | Popis | Použití | | --- | --- | --- | | Access | Port přiřazen jedné VLAN; rámce směrem ke klientovi jsou untagged | Stolní počítače, tiskárny | | Trunk | Přenáší více VLAN; rámce jsou obvykle označené tagem | Propojení mezi switchemi, mezi switchem a routerem | | Hybrid | Kombinuje chování tagovaného i netagovaného provozu; záleží na implementaci | Některé pokročilejší systémy | > Definice: Access port přenáší provoz jedné VLAN bez tagu směrem k zařízením; Trunk přenáší více VLAN s tagy. Did you know that native VLAN umožňuje posílat rámce jedné VLAN přes trunk bez 802.1Q tagu? Špatné nastavení native VLAN na obou koncích trunku může způsobit provozní chyby a bezpečnostní rizika. ### Tagged vs untagged - Tagged: rámec nese 802.1Q VLAN tag (identifikátor VLAN). To umožňuje multiplexovat více VLAN po jednom linku. - Untagged: rámec bez VLAN tagu; na switchi je přiřazen do konkrétní VLAN (např. access port). Praktický příklad: Trunk mezi dvěma switchemi nese VLAN 10 a VLAN 20; rámce pro VLAN 10 a 20 jsou označeny tagy, zatímco native VLAN (např. VLAN 1) může být neoznačená. ## 3. Native VLAN a rizika - Native VLAN je VLAN, jejíž provoz může na trunku putovat bez tagu. - Pokud mají koncové switche odlišně nastavenou native VLAN, může dojít k tomu, že rámce budou patřit do jiné VLAN než se očekává — to může vést k únikům provozu mezi VLAN nebo ke ztrátě paketů. Typické problémy: - Směrování provozu do nesprávné VLAN - Bezpečnostní riziko umožňující přístup k neautorizovaným sítím ## 4. STP (Spanning Tree Protocol) a RSTP - Proč STP: Ethernetové sítě bez TTL mohou při smyčce způsobit broadcast storm a úplné zahlcení sítě. - STP vytvoří logickou stromovou topologii eliminací nadbytečných cest — některé porty zablokuje, aby vznikla acyklická síť. - Pojmy: - Root bridge: hlavní switch, ke kterému se počítají nejlepší (nejkratší) cesty - Root port: port se nejlepší cestou k root bridge - Designated port: port určený pro přeposílání v daném segmentu - Blocking port: port blokovaný kvůli prevenci smyčky - RSTP (Rapid Spanning Tree Protocol) je rychlejší modernější varianta STP, která snižuje dobu konvergence po změně topologie. > Definice: STP je protokol zabraňující smyčkám v ethernetových sítích blokováním nadbytečných cest. Praktický příklad: Máte tři switche v trojúhelníku; STP zablokuje jeden z provazů, aby zabránilo smyčce. Pokud spadne primár